Dieser Artikel beschäftigt sich mit den wichtigsten Punkten der generellen Konfiguration und Verwaltung des Security Awareness Service. Zudem gibt es hier einige Tipps und Hilfestellungen zur Fehlersuche. Es wird davon ausgegangen, dass die Ersteinrichtung des Kundentenants im Control Panel abgeschlossen ist. Alle zusätzliche Informationen, welche hier nicht behandelt werden, da sie lediglich einen Mehrwert bieten, aber nicht zwingend erforderlich sind finden Sie im Handbuch.
Übersicht des Artikels
- Erstellung der Whitelistings
- Aktivierung und Einrichtung des SAS
- Tipps & Tricks für den Security Awareness Service
Erstellung der Whitelistings
Damit die Phishing Simulationen des Security Awareness Service ohne Probleme an die entsprechenden User zugestellt werden können, müssen die Administratoren der Kundentenants im Vorhinein Freigaben in den jeweiligen E-Mail-Umgebungen erstellen. Je nachdem, ob der Kundentenant Spam & Malware Protection nutzt oder nicht, unterscheiden sich die zu setzenden Werte. Nachfolgend ist daher jeweils für Kunden mit und für Kunden ohne Spam & Malware Protection beschrieben.
Bitte beachten Sie außerdem, dass Drittsysteme ebenfalls ein Whitelisting benötigen, da diese den Security Awareness Service sonst einschränken können. Für die gängigsten Systeme haben wir die zu setzenden Ausnahmen in dem nachfolgenden Artikel beschrieben:
Freigaben für den Security Awareness Service in E-Mail-Filtern von Drittanbietern
Nachfolgend sind die zu hinterlegenden Whitelistings beschrieben. Bitte wählen Sie die die für Sie richtige Anleitung aus. Dies hängt davon ab, ob Sie zusätzlich Spam & Malware Protection nutzen oder eben nur den Security Awareness Service:
Kunden mit Spam & Malware Protection
Freigaben von IP-Adressen und IP-Adressbereichen
Kunden müssen bestimmte IP-Adressen und IP-Adressbereiche, die von der Region des Kunden abhängig sind, in ihrer E-Mail-Umgebung freigeben.
Kunden aus Europa (inkl. Subnetzmaske)
- 83.246.65.0/24 (255.255.255.0)
- 94.100.128.0/20 (255.255.240.0)
- 185.140.204.0/22 (255.255.252.0)
- 173.45.18.0/24 (255.255.255.0)
- 173.124.136.160/27 (255.255.255.224)
Kunden aus den USA (inkl. Subnetzmaske)
- 83.246.65.0/24 (255.255.255.0)
- 94.100.128.0/20 (255.255.240.0)
- 173.45.18.0/24 (255.255.255.0)
- 185.140.204.0/22 (255.255.252.0)
Kunden aus Kanada (inkl. Subnetzmaske)
- 108.163.133.224 (255.255.255.224)
- 199.27.221.64 (255.255.255.224)
- 209.172.38.64 (255.255.255.224)
- 216.46.2.48 (255.255.255.248)
- 216.46.11.224 (255.255.255.224)
Freigabe von DKIM-Signaturen
Kunden müssen E-Mails mit DKIM-Signaturen von sas.cloud-security.net in ihrer E-Mail-Umgebung freigeben.
Freigabe von Domains
Sollte es nicht möglich sein ein Whitelisting auf Basis von IP-Adressen oder der DKIM-Signatur in der E-Mail-Umgebung zu hinterlegen, dann besteht, als Notlösung, die Möglichkeit ein Whitelisting über eine selbsterzeugte Domainliste zu erstellen.
Eine kurze Erklärung, wie die Listen zugelassener Domains erzeugt werden können, finden Sie hier. Nach der Erstellung kann die Liste im selben Modul heruntergeladen werden und für ein Whitelisting in der E-Mail-Umgebung genutzt werden. Bitte beachten Sie, dass für die Phishing Simulation, nach der Erstellung der Liste, nur noch die Domains aus der Liste verwendet werden. Da hierbei die Variabilität der Domains eingeschränkt ist, ist diese Variante nur als Notlösung zu betrachten. Zudem empfehlen wir die Liste in regelmäßigen Abständen neu zu erzeugen und zu hinterlegen, damit immer die aktuellsten Domains genutzt werden.
Konfiguration in Microsoft 365
Die Konfiguration in Microsoft 365 kann automatisch hinterlegt werden, sollte jedoch trotzdem geprüft werden, damit sichergestellt ist, dass bei der Erstellung der Freigaben alle Werte korrekt hinterlegt wurden. Wie Sie die Freigaben automatisch hinterlegen lassen, ist hier beschrieben.
Sollten die automatische Konfiguration für Sie nicht möglich sein oder dies nicht wollen, sind nachfolgend die Anleitungen zur Freigabe der erforderlichen Werte verlinkt:
- Erweiterte Zustellung für M365 Defender einrichten
- Transportregel für Anhänge für Kunden mit Spam and Malware Protection erstellen
- Transportregel für Links für Kunden mit Spam and Malware Protection erstellen
- Transportregel aktivieren
Sollten der Defender Plan 2 verwendet werden, muss zusätzlich noch die nachfolgende Richtlinie erstellt werden:
Konfiguration von Clients
MS Defender SmartScreen ist ein Feature von Microsoft, welches in das Betriebssystem Windows 10 und 11 integriert ist. Es soll Benutzer vor Phishing, schädlichen Websites oder dem Download von schädlicher Software warnen. Manchmal werden auch Websites als schädlich markiert und geblockt, obwohl es sich nicht um schädliche Websites handelt. Das Erstellen einer Liste mit Ausnahmen löst dieses Problem.
Zuerst muss hierbei die Ausnahme für Clients erstellt werden und kann dann anschließend über eine Gruppenrichtlinie verteilt werden.
Kunden ohne Spam & Malware Protection
Freigaben von IP-Adressen und IP-Adressbereichen
Kunden ohne Spam & Malware Protetion müssen lediglich zwei IP-Adressen und IP-Adressbereiche in ihrer E-Mail-Umgebung freigeben.
- 94.100.136.58 (255.255.255.255)
- 94.100.132.73 (255.255.255.255)
Freigabe von DKIM-Signaturen
Kunden müssen E-Mails mit DKIM-Signaturen von sas.cloud-security.net in ihrer E-Mail-Umgebung freigeben.
Freigabe von Domains
Sollte es nicht möglich sein ein Whitelisting auf Basis von IP-Adressen oder der DKIM-Signatur in der E-Mail-Umgebung zu hinterlegen, dann besteht, als Notlösung, die Möglichkeit ein Whitelisting über eine selbsterzeugte Domainliste zu erstellen.
Eine kurze Erklärung, wie die Listen zugelassener Domains erzeugt werden können, finden Sie hier. Nach der Erstellung kann die Liste im selben Modul heruntergeladen werden und für ein Whitelisting in der E-Mail-Umgebung genutzt werden. Bitte beachten Sie, dass für die Phishing Simulation, nach der Erstellung der Liste, nur noch die Domains aus der Liste verwendet werden. Da hierbei die Variabilität der Domains eingeschränkt ist, ist diese Variante nur als Notlösung zu betrachten. Zudem empfehlen wir die Liste in regelmäßigen Abständen neu zu erzeugen und zu hinterlegen, damit immer die aktuellsten Domains genutzt werden.
Konfiguration in Microsoft 365
Die Konfiguration in Microsoft 365 kann automatisch hinterlegt werden, sollte jedoch trotzdem geprüft werden, damit sichergestellt ist, dass bei der Erstellung der Freigaben alle Werte korrekt hinterlegt wurden. Wie Sie die Freigaben automatisch hinterlegen lassen, ist hier beschrieben.
Sollten die automatische Konfiguration für Sie nicht möglich sein oder dies nicht wollen, sind nachfolgend die Anleitungen zur Freigabe der erforderlichen Werte verlinkt:
- Erweiterte Zustellung für M365 Defender einrichten
- Transportregel für Anhänge für Kunden ohne Spam and Malware Protection erstellen
- Transportregel für Links für Kunden ohne Spam and Malware Protection erstellen
- Transportregel aktivieren
Sollten der Defender Plan 2 verwendet werden, muss zusätzlich noch die nachfolgende Richtlinie erstellt werden:
Konfiguration von Clients
MS Defender SmartScreen ist ein Feature von Microsoft, welches in das Betriebssystem Windows 10 und 11 integriert ist. Es soll Benutzer vor Phishing, schädlichen Websites oder dem Download von schädlicher Software warnen. Manchmal werden auch Websites als schädlich markiert und geblockt, obwohl es sich nicht um schädliche Websites handelt. Das Erstellen einer Liste mit Ausnahmen löst dieses Problem.
Zuerst muss hierbei die Ausnahme für Clients erstellt werden und kann dann anschließend über eine Gruppenrichtlinie verteilt werden.
Aktivierung und Einrichtung des SAS
Nachdem die Freigaben in allen Umgebungen eingetragen sind, welch den Security Awareness Service stören könnten, kann der Security Awareness Service aktiviert werden. Dies schaltet den Zugriff auf die Konfiguration und die Statistiken frei.
Aktivierung des Security Awareness Service
Aktivierung/Deaktivierung der Phishing Simulation
Aktivierung/Deaktivierung des E-Trainings
Installation des Phishing Reporter Add-Ins
Um die Phishing Simulationen korrekt melden zu können und damit einen schnelleren Fortschritt zu erreichen, ist es erforderlich das Phishing Reporter Add-In zu installieren. Hierfür bieten wir im Security Awareness Modul eine Manifestdatei zum Download, welche in Ihrer Outlook Umgebung hinterlegt werden kann.
Bitte beachten Sie vor der Installation die Voraussetzungen für das Add-In.
Um die Manifestdatei herunterzuladen, gehen Sie wie folgt vor:
- Melden Sie sich mit Ihren administrativen Zugangsdaten im Control Panel an
- Wählen Sie in der Bereichsauswahl die Domain aus, für die Sie den Phishing Reporter aktivieren möchten
- Navigieren Sie zu Sicherheitseinstellungen -> Security Awareness Service -> Konfiguration
- Wählen Sie den Tab Phishing-Simulation aus
- Aktivieren Sie die Option Phishing Reporter unter Einstellungen des Phishing Reporters
- Laden Sie die Datei über den Herunterladen-Button
Beachten Sie, dass die Manifestdatei immer nur für den Tenant funktioniert, in dem sie heruntergeladen wurde. Sollten Sie eine Manifestdatei eines anderen Tenants nutzen, können die User beim Melden nicht zugeordnet werden.
Die Manifestdatei kann unter Microsoft 365 und lokalen Exchange Servern installiert werden. Die entsprechenden Anleitungen sind nachfolgend verlinkt:
Lokale Exchange Installation -> Lokale Exchange Bereitstellung
E-Mail melden, ohne Add-In
Sollten Sie den Phishing Reporter nicht nutzen können, gibt es ebenfalls die Möglichkeit die Phishing Simulationen an reportto@hornetsecurity.com zu melden. Hier ist beschrieben, wie Sie mit der E-Mail umgehen müssen, damit sie korrekt bei der genannten Adresse ankommt und verarbeitet wird.
Weiteres
Weitere Einstellungen können Sie je nach Bedarf im Control Panel konfigurieren. Eine Übersicht hierüber finden Sie unter dem folgenden Handbuchartikel:
Tipps & Tricks für den Security Awareness Service
Erstellung von Gruppen zur besseren Verwaltung und Statistikübersicht
Sollten Sie den Security Awareness Service abteilungsübergreifend anbieten, empfiehlt es sich für die Abteilungen jeweilige Gruppen zu erstellen, in die die User einsortiert werden. Dies hilft Ihnen bei der Übersicht und Auswertung der Statistiken des Security Awareness Service.
Tipps für einen guten ESI
Die ESI Berechnung geschieht auf Basis verschiedener Faktoren. Der deutlichste Faktor ist das Klickverhalten bei Phishing Simulationen. Sobald ein User mit einer E-Mail der Phishing Simulation interagiert wird dies negativ für den ESI gewertet. Interaktionen wie das öffnen von Makrodateien werden deutlich negativer gewertet, als das einfache öffnen einer E-Mail.
Im Optimalfall erkennt ein User die E-Mails und meldet diese per Add-In oder die reportto@hornetsecurity.com Adresse. Dies geht positiver in den ESI ein, als das erkennen und ignorieren/löschen einer Phishing Simulations E-Mail. Zudem steigen die User bei gleichbleibendem Verhalten in der Phishing Simulation schneller im Level auf und bekommen schwierigere Szenarien zugeteilt.
Was ist zu tun, wenn der ESI plötzlich und ohne Klicks einbricht?
In einigen Fällen wirkt es so, als würde der ESI plötzlich und ohne Grund einbrechen. Hierbei sind die User häufig unschuldig. Das Verhalten ist meistens auf ein unvollständiges oder fehlerhaftes Whitelisting zurückzuführen. Auch Drittsysteme, welche beim Whitelisting anfangs nicht bedacht wurden, können der Auslöser sein.
Wie Sie prüfen können, was für die Klicks verantwortlich ist, klnnen Sie dem folgenden Knowledge Base Artikel entnehmen:
Plötzlicher Fall des ESI - mögliches Whitelistingproblem und wie Sie es überprüfen und lösen können